Отчет DFIR расширяет информацию о вторжении, произошедшем в мае 2022 года, когда угрожающие лица использовали BumbleBee в качестве начального вектора доступа из кампании Contact Forms. Вторжение началось с доставки ISO-файла, содержащего LNK и DLL. Угрожающие лица использовали BumbleBee для загрузки агента Meterpreter и маячков Cobalt Strike Beacons. Затем они провели разведку, использовали две различные техники обхода UAC, сбросили учетные данные, повысили привилегии с помощью эксплойта ZeroLogon и продвигались по среде.
Вторжение началось с контактной формы на сайте. Контактная форма заполняется агентом угрозы с уведомлением об авторском праве, якобы нарушающем закон об авторском праве цифрового тысячелетия (DMCA). Затем получателю предлагается загрузить файл, демонстрирующий предполагаемое нарушение.
BumbleBee Loader IOCs
- Bumblebee Loader IOCs
- Bumblebee Malware IOCs - Part 4
- Bumblebee Malware IOCs - Part 3
- Bumblebee Malware IOCs
- BumbleBee Loader IOCs - Part 5
- BumbleBee Loader IOCs - Part 6
- Bumblebee Loader IOCs - Part 7
- Bumblebee Loader IOCs - Part 8
- Bumblebee Loader IOCs - Part 9
- Bumblebee Loader IOCs - Part 10
- Bumblebee Loader IOCs - Part 11
Indicators of Compromise
IPv4
- 172.93.201.12
- 213.232.235.199
- 23.106.215.100
- 3.16.159.37
- 45.153.243.93
IPv4 Port Combinations
- 172.93.201.12:443
- 213.232.235.199:443
- 23.106.215.100:443
- 3.16.159.37:44
- 3.16.159.37:80
- 45.153.243.93:443
Domains
- cevogesu.com
- titojukus.com
MD5
- 0c9457ab6f0d6a14fc8a3d1d149547fb
- 5d2a8724dbce65eefb7e74fbb0eceda9
- 61be9ce3d068c08ff99a857f62352f9d
- a0e9f5d64349fb13191bc781f81f42e1
- ae4edc6faf64d08308082ad26be60767
- aeff99611babd41d79c3ba7930f00bc1
- b3e68aebe05dc652ec65099e0e98b94e
- bd5c8ea8c231bf2775b9c0ba3f7ea867
- ce5f3254611a8c095a3d821d44539877
- ea2c1fa8668812852a77737c4f712ba2
- ec74a5c51106f0419184d0dd08fb05bc
- ee7ad5fe821fb9081380dbbf40c4f062
- fbcaa31456f39f996950511705461639
SHA1
- 38eef0cdaa8faa27c9e2cedeafcfe842e2e0e08e
- 52d4c0cb9a93e7bc5f1e0c386dcca3e0ac41b966
- 759688d1245aacd0ed067b0f0388786e911aaf28
- 785b660537506501e695e46875b02260649b23f7
- ccc9e1559b877b04b1d0e7f8920a64b4e35136da
- fa3649b0472ba7fd9b31a22c904b2de4c008f540
- fa9597b87f78c667cc006aaa1c647d539aa9b827
SHA256
- 3c600328e1085dc73d672d068f3056e79e66bec7020be6ae907dd541201cd167
- 4bb67453a441f48c75d41f7dc56f8d58549ae94e7aeab48a7ffec8b78039e5cc
- 65a9b1bcde2c518bc25dd9a56fd13411558e7f24bbdbb8cb92106abbc5463ecf
- da3c4e2b7768d66ecb6c0e74c6d45e2bcfbc6203b76c7163909bd2061603cef5
- df63149eec96575d66d90da697a50b7c47c3d7637e18d4df1c24155abacbc12e
- f7bfde050c81d47d79febdb170f307f447e76253715859727beff889d2a91694
- f7c1d064b95dc0b76c44764cd3ae7aeb21dd5b161e5d218e8d6e0a7107d869c1